.uk alan adlarının resmi kayıt kuruluşu ve dünya çapındaki en büyük ülke kodu kayıtlarından biri olan Nominet, Ivanti’nin Sanal Özel Ağ (VPN) yazılımında yakın zamanda keşfedilen sıfır gün güvenlik açığıyla bağlantılı önemli bir siber güvenlik ihlalini ortaya çıkardı.
Ocak 2025’in başlarında gün ışığına çıkan olay, CVE-2025-0282 olarak takip edilen kritik Ivanti Connect Secure kusuruyla ilgili kamuya açık olarak doğrulanan ilk istismar vakasını işaret ediyor.
8 Ocak’ta müşterilere gönderilen bir e-postada Nominet, önceki hafta ağında şüpheli etkinlik tespit ettiğini açıkladı. Kayıt rapor.
Şirket, “geçen hafta sonlarında ağımızdaki şüpheli faaliyetten haberdar olduklarını” belirtti. Giriş noktası, Ivanti tarafından sağlanan ve çalışanlarımızın sistemlere uzaktan erişmesine olanak tanıyan üçüncü taraf VPN yazılımıydı.”
CVSS puanı 9,0 olan kritik bir yığın tabanlı arabellek taşması güvenlik açığı olan CVE-2025-0282, etkilenen sistemlerde kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine olanak tanır. Bu kusur, ZTA ağ geçitleri için Ivanti Connect Secure, Ivanti Policy Secure ve Ivanti Neurons’u etkiliyor.
Investigate Real-World Malicious Links, Malware & Phishing Attacks With ANY.RUN – Try for Free
Güvenlik Açığı Kullanımı
Siber güvenlik uzmanları, Aralık 2024’ün ortasından bu yana gözlemlenen saldırılarla, bu güvenlik açığının istismarını Çin devleti destekli olduğundan şüphelenilen bilgisayar korsanlarıyla ilişkilendirdi.
İhlale rağmen Nominet, müşterilerine şu anda veri hırsızlığı veya sızıntısına dair herhangi bir kanıt bulunmadığına dair güvence verdi. Şirket ayrıca ağına herhangi bir arka kapı veya başka türlü yetkisiz erişim tespit etmediğini de belirtti.
Nominet, 11 milyondan fazla .uk alan adını yönetiyor ve Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) için Koruyucu Alan Adı Hizmeti (PDNS) dahil olmak üzere kritik altyapıyı işletiyor.
Olaya yanıt olarak Nominet, sistemlerine VPN bağlantıları aracılığıyla erişimin kısıtlanması da dahil olmak üzere ek güvenlik önlemleri uygulamaya koydu. Şirket ayrıca NCSC de dahil olmak üzere ilgili makamları bilgilendirdi ve araştırmasını harici siber güvenlik uzmanlarının yardımıyla sürdürüyor.
Ivanti’nin sıfır gün istismarı siber güvenlik camiasında önemli endişelere yol açtı. Mandiant, saldırganların, Ocak 202’de Ivanti ürünlerine yönelik benzer saldırıların arkasındaki tehdit aktörleri olan UNC5221 ile bağlantısı olan UNC5337 grubunun bir parçası olduğunu belirledi.
Mevcut kampanya, Spawn, Dryhook ve Phasejam dahil olmak üzere hem bilinen hem de yeni kötü amaçlı yazılım türlerinin dağıtımını içeriyor.
Ivanti, sıfır günün kamuya açıklanmasıyla aynı zamana denk gelen 8 Ocak 2025’te savunmasız Connect Secure sürümleri için yamalar yayınladı. Ancak, Policy Secure ve ZTA Gateway’ler için Neurons’a yönelik düzeltmelerin 21 Ocak’a kadar beklenmemesi, potansiyel olarak bazı müşterilerin açığa çıkmasına neden olabilir.
Siber güvenlik firması Censys, 33.542 Ivanti Connect Secure örneğinin küresel olarak açığa çıktığını ve önemli yoğunlukların Amerika Birleşik Devletleri ve Japonya’da olduğunu bildirdi.
Durum gelişmeye devam ettikçe, siber güvenlik uzmanları Ivanti ürünlerini kullanan kuruluşlara mevcut yamaları derhal uygulamalarını, olası risklere karşı kapsamlı araştırmalar yapmalarını ve daha fazla istismar girişimine karşı tetikte olmalarını tavsiye ediyor.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!